IE: supprimer les alertes de sécurité en mode https

Internet Explorer, dans toutes ses versions, affiche une alerte de sécurité lorsque l'on visite une page, servie via le protocole de sécurité https, si celle-ci contient des ressources servies via le protocole http.

Alerte de sécurité sur IE < 8.

Capture d'écran IE7: Security Information, This page contains both secure and unsecure items. Do you want to display the nonsecure items?

Security Information

This page contains both secure and unsecure items.

Do you want to display the nonsecure items?

[Yes] [No] [More Info]

Ou en français :

Information sur la sécurité

Cette page contient des éléments sécurisés et non sécurisés.

Souhaitez-vous afficher les éléments non sécurisés ?

[Oui] [Non] [Plus d'infos]

Alerte de sécurité sur IE8b2.

A l'heure actuelle, la version finale d'IE8 n'est pas encore sortie. J'ai donc fait des tests sur la version bêta 2.

Capture d'écran IE8b2: Security Warning, Do you want to view only the webpage content that was delivered securely?

Security Warning

Do you want to view only the webpage content that was delivered securely?

This webpage contains content that will not be delivered usin a secure HTTPS connection, which could compromise the security of the entire webpage.

[More Info] [Yes] [No]

Notez la tournure de la phrase qui est completement l'inverse du message de sécurité des versions précédantes...

Examples d'alerte de sécurité.

Démonstration.

J'ai mis en place une page démontrant cette popup de sécurité. Je sais que le certificat n'est pas valable pour le domain, d'où la première alerte.

Cette page est servie via le protocole sécurisé https et contient un lien vers une image servie via http.

Sur Internet Explorer, vous devriez avoir le message d'alerte ci-dessus.

Code.

<div>
<img src="http://noscript.be/demo/https-mixed-content-warning/404.jpg" alt="Un chat dans un pc démonté" title="src: http://www.catswhocode.com/blog/404" />
</div>

Supprimer l'alerte de sécurité une fois pour toute.

Il y a plusieurs solutions pour cela. Dont une consiste à changer les paramètres d'IE.

Je me vois mal conseiller à mes clients de changer leurs paramètres.

La seule solution est d'employer correctement le Common Internet Scheme Syntax, en supprimant le protocole.

Démonstration.

Dans cet exemple, le protocole https du lien vers l'image à simplement été supprimé.

Le message de sécurité n'apparaît plus.

Code.

<div>
<img src="//noscript.be/demo/https-mixed-content-warning/404.jpg" alt="Un chat dans un pc démonté" title="src: http://www.catswhocode.com/blog/404" />
</div>

Notez que la même technique est d'application pour les fichiers .swf que vous pourriez avoir dans vos pages sécurisées.

<OBJECT classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="//download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0"
WIDTH="550" HEIGHT="400" id="myMovieName">
<PARAM NAME=movie VALUE="myFlashMovie.swf">
<PARAM NAME=quality VALUE=high>
<PARAM NAME=bgcolor VALUE=#FFFFFF>
<EMBED src="/support/flash/ts/documents/myFlashMovie.swf"quality=high bgcolor=#FFFFFF WIDTH="550" HEIGHT="400"
NAME="myMovieName" ALIGN="" TYPE="application/x-shockwave-flash"
PLUGINSPAGE="http://www.macromedia.com/go/getflashplayer">
</EMBED>
</OBJECT>

code vu sur la base de connaissance Macromedia

J'ai enlevé le protocole http de l'attribut codebase du tag object.

Maintenant, ceux qui utilisent encore Internet Explorer (et qui devraient vraiment essayer un meilleur browser) n'ont plus de raisons de se plaindre de ces messages d'alerte !

Comments

6 commentaires à “IE: supprimer les alertes de sécurité en mode https”

  1. Feucophe le 04/12/2009 à 17h00.

    Evidemment, le message n'apparait plus puisque IE ne voyant pas de protocole, utilise celui de la page : https. Si le but est de servir l'image en HTTP absolument, et ce sans avoir de message d'erreur, alors ça ne fonctionne pas !

    Ainsi, cela pose les problèmes de performance dont il est question ici : http://www.gatellier.be/blog/performances-web-impact-du-ssl/

  2. Marin le 04/12/2009 à 17h37.

    @Feucophe, une recherche plus poussée montre qu'il n'y a pas de ssl (re)-negociation si on a activé le http pipelining et que c'est le même socket qui est employé.

  3. chaouki le 10/05/2011 à 15h07.

    salut g le probleme de https je veux savoir comment suprimer http(s) etapes par etapes
    et merci

  4. rosa le 20/12/2011 à 17h03.

    s il vous plait j ai ce mm probléme sur facebook ' cette page présente un contenu non sécurisé comment pourrais je m en debarraser ?? notant que j utilise chrome comme navigateur??

  5. paris le 12/04/2012 à 13h36.

    cette adresse de sécurité https m'empêche et c'est permis de retirer facebook rose j'essaie d'annuler depuis 2 semaines car il est apparu il y a 15 jours j'en ai assez comment le supprimer ?

  6. Epi le 13/05/2013 à 11h59.

    Existe t-il des cas où IE8 génère une popup de sécurité alors que tous les appels sont en https ?

    En effet, sur IE9 et FF pas de problème, tous les appels sont vérifiés via un proxy local transparent et tout est en https. Pourtant, toujours des alertes sous IE8 avec cache vidé !

    Problème de certificat ? de contenu caché par des proxy ?

Laissez un commentaire